Vulnerability Bulletins |
Revelación de información sensible en Firefox, Mozilla, Netscape, SeaMonkey y Microsoft Internet Explorer |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Probado |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Firefox <= 1.5.0.4 Mozilla <= 1.7.13 Netscape 8.x SeaMonkey 1.x Microsoft Internet Explorer 6.x |
Description |
|
|
Se ha descubierto una vulnerabilidad en Firefox, Mozilla, Netscape, SeaMonkey y Microsoft Internet Explorer. La vulnerabilidad reside en que un script puede cancelar eventos del tipo "keystroke" (pulsaciones de teclado) cuando se inserta texto. Un atacante remoto podría obtener un fichero arbitrario del sistema del usuario victima mediante el engaño del usuario a que teclee un nombre de fichero en un campo para subir ficheros y cancelar ciertos eventos JavaScript en ciertos caracteres. |
|
Solution |
|
| Actualmente no existe ningún parche disponible. | |
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
[Full-disclosure] file upload widgets in IE and Firefox have issues http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/046610.html Secunia Advisory (SA20442) http://secunia.com/advisories/20442/ |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-06-06 |